Cyberbezpieczeństwo w świadczeniu usług związanych z kryptoaktywami
Monitor Prawa Bankowego 2024/07-08 Lipiec/Sierpień
Zmiany w sferze regulacyjnej dotyczącej rynku kryptoaktywów powodują, że tradycyjny rynek finansowy uzyska narzędzia pozwalające na powiązanie się z pewnymi rozwiązaniami opracowanymi na gruncie rozwiązań DLT. Efektem takiej możliwości jest jednak konieczność wyjścia rynku kryptoaktywów z tak zwanego shadow banking 2.0[1]. Zmiany tego typu będą powodować, że branża ta wpisze się na stałe w pewne wymagania w różnych charakterystycznych zakresach obowiązków znanych na rynku tradycyjnych finansów. Jednym z tego typu nowych obowiązków będzie przestrzeganie zasad cyberbezpieczeństwa.
Dariusz Szostek
Rafał Prabucki
Mateusz Jakubik
Usługi związane z kryptoaktywami
Usługi świadczone w ramach rynku kryptoaktywowego w aspekcie cyberbezpieczeństwa opisywane są w dwojaki sposób. Jednym z nich jest kwestia techniczna pewnego DLT (distributed ledger technology – technologia rozproszonego rejestru). W ramach jego funkcjonowania aspekty tego typu powodują, że bezpieczeństwo transakcji wpływa i kształtuje też potrzebne do jego właściwego działania elementy. Część elementów jest natywna i wynika ze sposobu prowadzenia pewnego DLT. To społeczność albo podmiot zarządzający DLT podejmuje decyzję, aby rejestr i związane z nim funkcje poprawnie działały. Wykorzystanie mechanizmów bazujących na kodzie programistycznym, w tym kryptografii, poniekąd zastąpiło w takim układzie mechanizmy prawne (taki był cel - kryptoprawo)[2]. Jak zauważa jednak M. Haentjens i M. Lehmann, nie da się budować technicznych rozwiązań tak, aby „powstrzymały” konstrukcje i mechanizmy prawne. Jako przykład autorzy podają Sąd Rejonowy w Tokio, który podejmował decyzję w ramach swojej jurysdykcji o tym, w jaki sposób kryptoaktywa będą rozdzielone między wierzycielami. Nagła zmiana zasad w zakresie bezpieczeństwa transakcji związana jest z zastosowaniem praw własności. Jak zauważają badacze: „Własność jest terminem prawnym głęboko zakorzenionym w historii, który jest, był i będzie wykorzystywany do ochrony tych, którzy roszczą sobie prawo do aktywów”[3]. Kryptoaktywa, dopóki obracamy nimi na zasadach określonych pewnym działaniem DLT, pozwalają użytkownikowi zachować pełną kontrolę nad swoimi aktywami. Usługi w ramach takich transakcji nazywamy DeFi[4]. Istnieje jednak szereg usług, które powodują, że kontrola ta nie jest pełna, a transakcje odbywają się poza DeFi wypracowanymi w ramach pewnego DLT. Na sposób działania tych podmiotów, w tym transakcji związanych z kryptowalutami, może już mieć wpływ, i ma - prawo.
Podsumowując ten fragment autorzy przyjmują, że istnieje praktyczne rozróżnienie usług z punktu widzenia użytkownika. Usługi natywne w ramach DLT to jedna sfera bezpieczeństwa transakcji. Usługi aplikowane (dodatkowe rozwiązania świadczone dla rynku kryptoaktywów) to inna sfera usług, gdzie o bezpieczeństwie kryptoaktywów decydują rozwiązana techniczne zewnętrzne względem DLT, oferowane przez podmioty działające w sposób zbliżony do innych podmiotów na rynku tradycyjnych finansów, czyli tak zwane CeFi (rys. 1)[5]. W obu przypadkach możliwe jest zastosowanie prawa danego dla pewnej jurysdykcji, choć nie bez problemu. Jak zauważa J. Wyczik, usługi tworzone w ramach DeFi miały oferować demokratyzację rynku, bez nadzoru, ale z elastycznością, a wprowadziły zamieszanie w aspekcie korzystania z tradycyjnego prawa przez użytkowników[6]. Z kolei korzystania z podmiotów oferujących usługi aplikowane do pewnej sfery obrotu kryptoaktywów w ramach pewnego DLT, nie można łączyć z technicznymi aspektami bezpieczeństwa tegoż DLT. Dla przykładu – upadek platformy wymiany kryptoaktywów FTX nie jest konsekwencją błędnego działania DLT, którego kryptoaktywa były oferowane na tejże platformie[7].
Rysunek. 1. Podział usług.
Źródło: Opracowanie własne.
Próby usystematyzowania rynku podejmowane są na drodze wprowadzania nowych ram przez prawodawcę. Wskazanie zakresu dla usług związanych z kryptoaktywami znajduje się w Rozporządzeniu MiCA[8]. Należy jednak podkreślić, że sam akt prawny nie jest jedyną ramą dla tego typu usług, a jedynie systematyzuje pewne asp (...)